A propósito de ataques a redes e serviços, julgue os próximos itens.
Quando a autenticação e o gerenciamento da sessão de aplicação não são feitos corretamente, ocorre o ataque de referência insegura a objetos, por meio do qual o atacante, ao assumir a identidade da vítima, compromete senhas, chaves e sessões web.
A propósito de ataques a redes e serviços, julgue os próximos itens.
Constituem estratégias para evitar ataques de XSS (cross-site scripting): a utilização da flag HTTPOnly nos cookies, pela qual se evita que estes sejam manipulados por JavaScript; e a ativação da flag Secure, que garante que o tráfego seja feito apenas por HTTPS.
À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de segurança da informação (GRSI), julgue os itens a seguir.
Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores.
Acerca da análise de malwares executáveis em ambiente Windows, julgue os itens a seguir.
Por meio da análise estática, é possível descrever o comportamento de um malware como se ele estivesse sendo
executado em tempo real.
Acerca da ação de softwares maliciosos, julgue os itens subsequentes.
A atuação de um adware ocorre de maneira que o usuário não esteja ciente de que seu computador está sendo monitorado e de que suas informações estão sendo enviadas a um servidor de terceiros.
No que se refere a ferramentas e recursos de segurança nos sistemas operacionais Debian e Windows Server, julgue os itens a seguir.
Nessus é a mais completa e atualizada ferramenta de segurança disponibilizada no Debian para verificação remota de vulnerabilidades.
Julgue os itens a seguir, relativos à criptografia e suas aplicações.
RSA, 3DES e SHA-1 são métodos criptográficos que utilizam chave assimétrica.
A propósito de ataques a redes e serviços, julgue os próximos itens.
Diferentemente dos golpes de phishing, os ataques de spear phishing são realizados mediante o envio aleatório e em massa de emails enganosos para múltiplos usuários, para a obtenção de informações bancárias das vítimas ou apropriação da identidade delas.
Julgue os seguintes itens, relativos à segurança de aplicativos web.
Limitar o tempo de vida dos cookies de uma sessão
e implementar mecanismos de desafio-resposta, como o
captcha, são contramedidas para ataques de CSRF (cross-site
request forgery)
Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da informação.
Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização deve estar disponível, como informação documentada, exclusivamente para a alta gerência.
Julgue os itens subsecutivos, acerca de ataques comuns realizados em testes de invasão (pentests).
Um ataque de negação de serviço é dificilmente detectado em ambientes de rede.
No que se refere aos conceitos de segurança da informação, julgue os itens subsequentes.
Escuta, análise de tráfego e falsificação são exemplos de ataques que ameaçam a integridade dos dados.
Julgue os itens a seguir, relativos à criptografia e suas aplicações.
A adição de um bite ao tamanho da chave duplica o tempo médio necessário para um ataque de força bruta.
Julgue os seguintes itens, relativos à segurança de aplicativos web.
A técnica de fuzzing do OWASP ZAP fornece entradas não válidas para qualquer tipo de mecanismo de entrada.
Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue os itens subsecutivos.
A gestão de riscos é uma atividade autônoma e independente de outros processos da organização.